Come funzionano gli attacchi hacker ai sistemi di intelligenza artificiale aziendali?

Poche ore dopo che gli LLM come chatGPT sono arrivati all’onore delle cronache, gli esperti hanno iniziato a segnalare che sarebbero stati usati dai cyber-criminali per compiere le loro malefatte. L’allarme, però, riguardava principalmente il fatto che sarebbero stati usati per creare false e-mail più credibili, falsificare documenti in lingue diverse e fungere, in generale, come supporto per rendere i criminali più efficaci nel portare avanti quella tipologia di attacchi che già ci tormentavano. Ma ogni nuova tecnologia porta con sé delle vulnerabilità e adesso è arrivato il momento in cui i criminali usano i sistemi di intelligenza artificiale usati in azienda per rubare documenti o attaccare la rete interna.

EchoLeak – un “phishing” per IA

Il primo caso è arrivato a giugno, con una vulnerabilità chiamata EchoLeak che colpiva Microsoft CoPilot 365. In particolare, EchoLeak sfruttava il modo in cui Copilot per Microsoft 365 pesca automaticamente, da e-mail e documenti, il “contesto” per le richieste che gli vengono fatte. Un errore nella gestione dei contenuti letti dalle mail permetteva a un attaccante invia un messaggio apparentemente innocuo che conteneva istruzioni nascoste per l’IA. L’utente non doveva fare nulla di particolare se non continuare a usare normalmente il suo computer: quando, anche giorni dopo, veniva posta a Copilot una domanda che riguardava un argomento trattato nella mail inviata dall’attaccante, il sistema la recuperava e iniziava a seguire le istruzioni nascoste, raccogliendo dati interni (da Outlook/SharePoint/Teams) per poi spedirli all’esterno per esempio tramite link o immagini che generano richieste automatiche verso un server controllato dall’attaccante. Era a tutti gli effetti una vulnerabilità cosiddetta “zero-click” perché permette un attacco senza che l’utente apra o clicchi consapevolmente qualcosa. Microsoft ha corretto il problema, ma il vaso di pandora è stato scoperchiato: nelle aziende ci sono sistemi che vanno protetti in maniera diversa rispetto agli altri perché sono soggetti ad attacchi di tipo molto diverso.